Die Auswirkungen des Vorentwurfs zum neuen Datenschutzgesetz

Der Datenschutz gewinnt ständig spürbar an Bedeutung. Mit Entscheid vom 6. Oktober 2015 hat der Europäische Gerichtshof (EUGH) der Datenbekanntgabe in die Vereinigten Staaten die einfachste und am meisten zur Anwendung gelangende Grundlage, das «Safe Harbor»- Abkommen zwischen den USA und der EU, quasi für ungültig erklärt und damit den Unternehmen innerhalb der EU eine Datenübertragung in die USA erschwert.

Neue Rechtsgrundlage nötig

In der Schweiz folgte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) dem Urteil des EUGH umgehend und erklärte – ausserhalb seiner Kompetenz – das «Safe Harbor»-Abkommen zwischen der Schweiz und den USA ebenfalls als nicht mehr gültig. Mit der Folge, dass sich auch Schweizer Unternehmen um eine neue Rechtsgrundlage für ihre Datenbekanntgabe in die USA kümmern mussten.

Die EU-Kommission hat in der Zwischenzeit den sogenannten «Privacy Shield» mit den USA ausgehandelt. Kritiker monieren, dass es sich hierbei nur um ein «Safe Harbor» 2.0 handelt, und dass damit die Möglichkeit besteht, dass dieses Abkommen einer Prüfung durch den EUGH nicht standhalten wird – eine entsprechende Klage einer Datenschutzorganisation ist seit dem 16. September 2016 beim EUGH hängig.

Neben diesem Entscheid des EUGH hat insbesondere im Frühling 2016 die Veröffentlichung der EU-Datenschutgrundverordnung (DSGVO) die Bedeutung der Einhaltung des Datenschutzes sowie die Implementierung einer Da­tenschutz-Compliance für Unternehmen weiter befördert; namentlich die angedrohten Bussen im Umfang von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes haben hier entsprechende Prioritäten innerhalb der Unternehmen geschaffen.

Gültigkeit ausserhalb der EU

Die Datenschutzgrundverordnung der Europäischen Union (DSGVO) ist auch für die Unternehmen in der Schweiz insofern von Bedeutung, als sie unter gewissen Voraussetzungen auch Gültigkeit für Datenbearbeiter ausserhalb der EU erlangt sowie der Umstand, dass das vom Bundesrat mit der Revision des Datenschutzgesetzes (DSG) beauftragte Eidgenössische Justiz- und Polizeidepartement (EJPD) über eine Medienmitteilung informierte, dass die Reformen auf der Europäischen Ebene ausdrücklich mitberücksichtigt werden.

Mit etwas Verspätung hat der Bundesrat am 21. Dezember 2016 den Vorentwurf des revidierten DSG schliesslich veröffentlicht. Die nachfolgenden Ausführungen dieses Artikels werden kurz die Kerngedanken des neuen Entwurfes darlegen und anschliessend insbesondere einen Aspekt mit Auswirkung auf KMU und deren Unterschiede zum geltenden Recht erläutern.

Die sieben Leitlinien

Der Bundesrat hat am 20. April 2016 die Strategie «Digitale Schweiz» verabschiedet. Die Digitalisierung betrifft den Datenschutz im Kern. Geschützt werden im Datenschutz nicht die Daten an sich, sondern die Person, die hinter den Daten steht. Es geht also um den Persönlichkeitsschutz der Betroffenen. Spätestens durch die Enthüllungen von Edward Snowden wurde ein öffentliches Bewusstsein für die Wichtigkeit und den hohen Stellenwert geschaffen, den unsere Gesellschaft dem Datenschutz zumisst.

Die Revision des DSG richtet sich nach sieben Leitlinien aus.

• Als Erstes gilt im künftigen DSG ein risikobasierter Ansatz. Unternehmen, deren Kerngeschäft die Personendatenbearbeitung ist, sind einem erhöhten Risiko ausgesetzt und dementsprechend sind deren Pflichten strenger. Die Pricewaterhouse Coopers AG (PwC) wurde vom EJPD beauftragt, eine Regulierungsfolgenabschätzung (RFA) vorzunehmen. In ihrem abschliessenden Bericht hat PwC betreffend Datenschutzexponierung drei Kategorien gebildet: Bei der ersten Kategorie handelt es sich um Unternehmen mit geringer Exponierung, das heisst Unternehmen, die vorwiegend lokal tätig sind und keinen oder nur geringen Einsatz von Web-IT-Technologien ausweisen (zum Beispiel lokale Schreinerei, Metzgerei, Elektriker, etc.). Die zweite Kategorie bilden Unternehmen, deren Kerngeschäft zwar nicht die Datenbearbeitung ist, die aber sowohl lokal als auch international tätig sind, die eine verstärkte Nutzung von Web-IT und Cloud-Ser­vices ausweisen. Die dritte Kategorie schliesslich umfasst Unternehmen, deren Kerngeschäft die Personendatenbearbeitung darstellt (Big Data und Cloud-Dienstleister, etc.).
• Als zweite Leitlinie wird der technologieneutrale Charakter des Datenschutzgesetzes genannt, womit das Gesetz offen für weitere technologische Entwicklungen bleibt.
• Die dritte Leitlinie bildet die Modernisierung der Terminologie, welche insbesondere eine Anpassung an das europäische Recht darstellt; so wird zum Beispiel neu der Begriff «Verantwortlicher» benutzt. «Verantwortlicher» ist die private Person oder das Bundesorgan, welches den Zweck der Datenbearbeitung festlegt und bestimmt, mit welchen Mitteln dies geschieht; mit anderen Worten: Der Bearbeiter von Daten ist für die Einhaltung des Datenschutzes verantwortlich.
• Eine vierte Leitlinie stellt die Verbesserung des grenzüberschreitenden Datenverkehrs dar.
• Als fünfte und besonders bedeutsame Leitlinie wird die Stärkung der Rechte der Betroffenen genannt.
• Mit dieser eng verknüpft ist schliesslich die sechste Leitlinie, welche die Pflichten der Verantwortlichen präzisieren will.
• Als siebte Leitlinie ist letztendlich die Stärkung der Kontrolle genannt, die insbesondere die Stellung des EDÖB verbessern will.

Vermehrter Schutz der Betroffenen, strengere Pflichten der Verantwortlichen sowie die Stärkung der Kontrolle bedeuten erhöhte Anforderungen an die eigene Datenschutz-Compliance. KMU täten gut daran, sich in einem ersten Schritt überhaupt bewusst zu werden, unter welche Kategorie sie fallen, welche Daten sie bearbeiten, um danach die passenden Massnahmen ergreifen zu können.

Die Informationspflicht

Im neuen Vorentwurf des Datenschutzgesetzes (VE-DSG) gelten weiterhin die bekannten und tragenden Grundsätze des Datenschutzes. So muss jede Bearbeitung rechtmässig und verhältnismässig sein. Weiter hat die Beschaffung sowie der Zweck der Bearbeitung für den Betroffenen erkennbar zu sein.

Gemäss Art. 4 Abs. 3 VE-DSG dürfen Personendaten nur zu einem bestimmten und für die betroffene Person klar erkennbaren Zweck beschafft werden und sie dürfen nur so bearbeitet werden, dass dies mit dem Zweck zu vereinbaren ist. Der Voraussetzung einer «klar erkenn­baren» Beschaffung sowie eines eben­solchen Zwecks führt dazu, dass bei der Beschaffung die Zwecke der Bearbeitung definiert sowie präzise mitgeteilt werden müssen.

Gemäss Art. 13 VE-DSG wird neu eine Informationspflicht bei der Beschaffung von Daten geregelt. Mit dieser neuen Informationspflicht will man die Transparenz bei der Datenerhebung sowie -bearbeitung verbessern und stärken. Ein zentraler Punkt dieser Revision. Und wie vorgängig ausgeführt wurde, ist auch der Gedanke der Stärkung der Rechte der Betroffenen eine Leitlinie von grosser Bedeutung: Seine Rechte wahrnehmen kann immer nur derjenige, der auch weiss, dass über ihn Daten bearbeitet werden.

Eine solche Informationspflicht trifft zurzeit nur Bundesorgane (Art. 18a DSG) sowie den Inhaber einer Datensammlung über besonders schützenswerte Perso-nendaten und Persönlichkeitsprofile (Art. 14 DSG). Als besonders schützenswerte Personendaten gelten Gesundheitsdaten, Daten über die Intimsphäre, Daten über politische und religiöse Ansichten, etc. Die neue Informationspflicht gilt für jeden, der Personendaten beschafft. Die Pflicht bei der Beschaffung von Daten die Betroffenen zu informieren, trifft alle Unternehmen jeder vorstehend dargestellten Kategorie. Ausschlaggebend für die Anwendung der Informationspflicht ist einzig, ob Daten beschafft werden.

Was «Beschaffung» bedeutet

Der Begriff der «Beschaffung» ist nicht gesetzlich geregelt. Nach herrschender Lehre wird als «Beschaffung» von Personendaten der aktive, gezielte und bewusste Akt der Erhebung verstanden. Eine «Beschaffung» von Daten hat bisher für den Betroffenen lediglich «erkennbar» zu sein, wobei es genügt, dass diese «aus den Umständen ersichtlich» ist (vgl. Art. 4 Abs. 3 DSG). Eine eigentliche Informationspflicht besteht nur dann, wenn es sich um besonders heikle Daten handelt und der Zweck nicht auf Anhieb erkennbar ist.

Neu ist der Verantwortliche verpflichtet, die betroffene Person aktiv über die Beschaffung zu informieren, selbst wenn die Daten bei Dritten beschafft werden. Es bestehen zwar keine Formvorschriften für dieses aktive Informieren, aber es ist aus Sicherheits- und Beweisgründen zu empfehlen, die entsprechende Information nachvollziehbar zu dokumentieren (Schriftlichkeit, Aufschaltung auf Internetseite). Diese Information kann individuell, also durch direkte und persönliche Mitteilung, als auch in allgemeiner Form erfolgen, hier ist insbesondere an AGB zu denken. Zu beachten ist jedoch: Diese Information muss in leicht verständlicher Sprache verfasst und leicht zu finden sein.

Nach Art. 13 Abs. 2 VE-DSG hat der Verantwortliche spätestens mit der Beschaffung seine Identität und Kontaktdaten, die bearbeiteten Personendaten oder die Kategorie der bearbeiteten Personendaten sowie den Zweck der Bearbeitung bekanntzugeben. Werden Personendaten Dritten bekanntgegeben, hat gemäss Art. 13 Abs. 3 VE-DSG der Verantwortliche den betroffenen Personen den Empfänger mitzuteilen; ebenso hat er die Pflicht, einen allfälligen Auftragsbearbeiter und dessen Identität und Kontaktdaten offenzulegen. Ausnahmen von dieser Pflicht sind möglich, so zum Beispiel wenn der Betroffene bereits über die Informationen gemäss Art. 13 VE-DSG verfügt oder dieser die Daten selbst zugänglich gemacht hat oder die Information nur mit unverhältnismässigem Aufwand oder gar nicht möglich ist. Die Anforderungen an die letzte Ausnahme sind hoch und diese ist sehr eng auszulegen.

Zu ergreifende Massnahmen

Man sieht, der Vorentwurf stellt für den Verantwortlichen eine Reihe von Pflichten auf, deren korrekte Erfüllung bedingen, dass sich der Verantwortliche über mehrere Sachverhalte bewusst sein und vorab entsprechende Klarheit geschaffen werden muss.

Nur wer weiss, was er genau macht, kann die geforderte Transparenz auch kommunizieren. Jedes Unternehmen hat sich also die Frage zu stellen, ob es selber Daten beschafft, es Daten von Dritten beschaffen lässt, um was für eine Datenkategorie es sich hier handelt und ob es selber den Betroffenen informieren muss oder dieser schon informiert wurde.

Weiter muss sich das Unternehmen über den Zweck der Bearbeitung bewusst sein. Somit muss das Unternehmen die Betroffenen identifizieren, alle Bearbeitungen sowie allfällige Weitergaben kennen und diese dann aktiv mitteilen und die Betroffenen entsprechend informieren.

Die (bei Nichteinhaltung sanktionierte) Informationspflicht zwingt Unternehmen also, sich über ihre Datenbeschaffungen, -bearbeitungen und -bekanntgaben Gewissheit zu verschaffen.

Die Sanktionen

Können diese Fragen nicht beantwortet werden, kann auch nicht eine Art. 13 VE-DSG genügende Information abgegeben werden. Wer seine Pflichten nach Art. 13 VE-DSG verletzt, indem er es unterlässt, die betroffenen Personen gehörig zu informieren, kann gemäss Vorentwurf mit Bussen bis zu 500 000 Franken bestraft werden. Bei Fahrlässigkeit können gemäss Vorentwurf Bussen bis zu 250 000 Franken verhängt werden. Neben diesen Bussen ist aber infolge der Stärkung des gesellschaftlichen Bewusstseins für Datenschutz noch viel mehr mit einem Reputationsschaden und einem Vertrauensverlust zu rechnen.

Diese Informationspflicht sowie die entsprechenden Sanktionen sind bis jetzt im Vorentwurf enthalten, ob diese in dieser Form letztendlich Gesetz werden, ist noch offen. Zu beachten ist aber Folgendes: Inspiriert wurde der Vorentwurf ausdrücklich von der EU DSGVO, die einerseits noch viel schärfere Sanktionen ausweist und die im eigenen Art. 13 ebenfalls die Informationspflicht des Beschaffers vorsieht. Damit die Schweiz sich vom digitalen Binnenmarkt der EU nicht ausschliesst, wird das Parlament wohl bestrebt sein, nicht unter die Vorgaben der EU zu fallen.